Критичната инфраструктура на Израел е застрашена от иранска хакерска група, действаща в Ливан.

Партньорството на Иран с въоръжени войнствени групировки в целия Близък изток е добре документирано. По-малко известно е сътрудничеството му с чуждестранни хакери, като „Polonium“ (известна още като „Plaid Rain“), която от 2021 г. насам изглежда действа с единствената цел да атакува Израел.

Според „Майкрософт“ само през пролетта на 2022 г. Polonium е шпионирала над 20 израелски организации в търговски, критични и правителствени сектори, включително транспорт, критично производство, ИТ, финанси, селско стопанство и здравеопазване.

Сега групата изглежда е направила още една стъпка нагоре. На 4 декември Националната кибердирекция на Израел предупреди, че Polonium се е насочила към още критични инфраструктурни сектори, включително вода и енергия. И освен шпионаж, пише дирекцията, „напоследък е установена тенденция за осъществяване на разрушителни атаки“.

Dark Reading се обърна към Министерството на отбраната на Израел за повече подробности, но все още не е получил отговор.

Почеркът на Polonium

От страна, в която има само няколко сравнително тихи APT групи – Volatile Cedar, Tempting Cedar и Dark Caracal – човек може да се изкуши да подцени Polonium.

Но освен констатациите на Microsoft за нейните цели, през октомври 2022 г. изследователи от ESET откриха още над дузина атаки, извършени от същата група, през същата година, в още повече сектори, включително инженерство, право, комуникации, маркетинг, медии, застраховане и социални услуги.

За първоначален достъп Polonium най-често експлоатира устройствата на Fortinet – използвайки изтекли идентификационни данни за Fortinet VPN или чрез CVE-2018-13379, уязвимост в устройствата на Fortinet с оценка CVSS 9.8 „критична“, закърпена още преди появата на групата. За командване и контрол (C2) тя предпочиташе облачни услуги като Microsoft OneDrive, Dropbox и Mega.

Най-важното е, че през първата година от дейността си групата е внедрила не по-малко от седем персонализирани задни врати срещу своите цели, които могат да разгръщат обратни обвивки, да ексфилтрират файлове, да правят снимки на екрани, да регистрират натискания на клавиши, да поемат контрол над уебкамери и др.

И вместо да опаковат тези задни врати като монолит, хакерите ги разделят на фрагменти – малки файлове, всеки с ограничена функционалност. Например един файл с библиотека за динамични връзки (DLL) отговаря за заснемането на екрани, а друг се грижи за качването им на сървър C2. „Идеята е да се разделят функционалностите на различни компоненти, така че отделните компоненти да изглеждат по-малко подозрителни за софтуера за сигурност“, обяснява Матиас Пороли, изследовател на зловреден софтуер в ESET.

Дори когато Polonium разви своите инструменти и тактики през последните месеци, все още се придържаше към тази формула.

„През 2023 г. те са се отдалечили от изпълнимите файлове и DLL файловете и използват скриптови езици за своя зловреден софтуер. Наблюдавахме задни врати на Python, както и задни врати на LUA“, казва Пороли, като отбелязва, че последните са доста необичайни.

„Те все още поставят конфигурацията за своя зловреден софтуер в отделен файл. Това затруднява анализаторите да разберат потока на изпълнение, в случаите, когато анализаторите не разполагат с всички файлове, използвани при атаките“, казва той.

Кибервойната на Иран

На фона на войната в Газа Израел се сблъсква със значително нарастване на кибератаките.

Например три седмици след началото на войната Дирекцията за киберпространството вече е идентифицирала повече от 40 опита за компрометиране на доставчици на цифрови услуги и съхранение на данни. „Наблюдава се увеличение на опитите срещу такива компании и дори инциденти, които са причинили реални щети на няколко компании едновременно“, пише агенцията в предупреждение.

По-големият проблем, обяснява тя, е, че „потенциалът за щети може да достигне и до жизненоважни структури, свързани с тези компании, чиято роля в рутинни и още повече в извънредни ситуации е критична, включително болници, транспортни компании, министерства и др.“

Фактът, че нападателите невинаги са тези, които дърпат конците, само прави защитата срещу тях още по-трудна, казва Мария Кънингам, директор на отдела за изследване на заплахите ReliaQuest. „Русия често е първата национална държава, за която се сещаме тук“, казва тя, въпреки че „интересен начин на действие често се демонстрира от участници в заплахи, приписвани на Северна Корея, които на пръв поглед могат да изглеждат криминални.“

„Това може да осигури правдоподобно отричане за нападателя; за защитника това може да ограничи приписването и, което е по-важно, да попречи на разбирането на това какво може да последва в арсенала на нападателя“, казва тя.

 

Източник: DARKReading

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
Бъдете социални
Още по темата
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
06/02/2025

Руските хакери са използвал...

Руски групи за заплахи са провеждали...
06/02/2025

Блокбъстъра DeepSeek е свър...

Уебсайтът на китайската компания за изкуствен...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!